12 KiB
12 KiB
✅ Spotify PKCE 官方实现
📖 完全按照官方文档实现
我们的实现完全遵循 Spotify 官方 PKCE 文档。
🔐 什么是 PKCE?
PKCE (Proof Key for Code Exchange) 是 OAuth 2.0 的扩展,专为无法安全存储 Client Secret 的应用设计。
适用场景
根据 Spotify 官方文档:
Authorization Code with PKCE Flow is the recommended authorization flow if you're implementing authorization in:
- Mobile app
- Single page web apps ✅ (我们的应用)
- Any other type of application where the client secret can't be safely stored
📋 实现步骤对照
步骤 1:生成 Code Verifier
官方文档代码:
const generateRandomString = (length) => {
const possible = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';
const values = crypto.getRandomValues(new Uint8Array(length));
return values.reduce((acc, x) => acc + possible[x % possible.length], "");
}
const codeVerifier = generateRandomString(64);
我们的实现: ✅
// src/services/spotifyService.ts
private generateRandomString(length: number): string {
const possible = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789'
const values = crypto.getRandomValues(new Uint8Array(length))
return values.reduce((acc, x) => acc + possible[x % possible.length], '')
}
const codeVerifier = this.generateRandomString(64)
✅ 完全一致!
步骤 2:生成 Code Challenge
官方文档代码:
async function sha256(plain) {
const encoder = new TextEncoder()
const data = encoder.encode(plain)
return window.crypto.subtle.digest('SHA-256', data)
}
function base64encode(input) {
return btoa(String.fromCharCode(...new Uint8Array(input)))
.replace(/=/g, '')
.replace(/\+/g, '-')
.replace(/\//g, '_')
}
const hashed = await sha256(codeVerifier)
const codeChallenge = base64encode(hashed);
我们的实现: ✅
// src/services/spotifyService.ts
private async sha256(plain: string): Promise<ArrayBuffer> {
const encoder = new TextEncoder()
const data = encoder.encode(plain)
return crypto.subtle.digest('SHA-256', data)
}
private base64encode(input: ArrayBuffer): string {
const str = String.fromCharCode(...new Uint8Array(input))
return btoa(str)
.replace(/\+/g, '-')
.replace(/\//g, '_')
.replace(/=/g, '')
}
const hashed = await this.sha256(codeVerifier)
const codeChallenge = this.base64encode(hashed)
✅ 完全一致!
步骤 3:请求用户授权
官方文档代码:
const clientId = 'YOUR_CLIENT_ID';
const redirectUri = 'http://127.0.0.1:8080';
const scope = 'user-read-private user-read-email';
// Store code_verifier in localStorage
window.localStorage.setItem('code_verifier', codeVerifier);
const params = {
response_type: 'code',
client_id: clientId,
scope,
code_challenge_method: 'S256',
code_challenge: codeChallenge,
redirect_uri: redirectUri,
}
const authUrl = new URL("https://accounts.spotify.com/authorize")
authUrl.search = new URLSearchParams(params).toString();
window.location.href = authUrl.toString();
我们的实现: ✅
// src/services/spotifyService.ts
const scopes = [
'user-read-playback-state',
'user-modify-playback-state',
'user-read-currently-playing',
'streaming',
'user-read-email',
'user-read-private',
'playlist-read-private',
'playlist-read-collaborative',
'user-library-read',
]
// 保存 code_verifier 到 localStorage
localStorage.setItem('spotify_code_verifier', codeVerifier)
localStorage.setItem('spotify_auth_state', state) // 额外的 CSRF 保护
const params = new URLSearchParams({
client_id: this.config.clientId,
response_type: 'code',
redirect_uri: this.config.redirectUri,
scope: scopes.join(' '),
code_challenge_method: 'S256',
code_challenge: codeChallenge,
state: state, // 官方推荐的 CSRF 保护
})
return `https://accounts.spotify.com/authorize?${params.toString()}`
✅ 完全一致 + 增强安全性(添加 state 参数)!
步骤 4:解析授权码
官方文档代码:
const urlParams = new URLSearchParams(window.location.search);
let code = urlParams.get('code');
我们的实现: ✅
// src/services/spotifyService.ts
const params = new URLSearchParams(window.location.search)
const code = params.get('code')
const state = params.get('state')
// 验证 state(CSRF 保护)
const storedState = localStorage.getItem('spotify_auth_state')
if (state !== storedState) {
console.error('State mismatch: possible CSRF attack')
return false
}
✅ 完全一致 + 增强安全性(验证 state)!
步骤 5:交换 Access Token
官方文档代码:
const getToken = async code => {
// Get code_verifier from localStorage
const codeVerifier = localStorage.getItem('code_verifier');
const url = "https://accounts.spotify.com/api/token";
const payload = {
method: 'POST',
headers: {
'Content-Type': 'application/x-www-form-urlencoded',
},
body: new URLSearchParams({
client_id: clientId,
grant_type: 'authorization_code',
code,
redirect_uri: redirectUri,
code_verifier: codeVerifier,
}),
}
const body = await fetch(url, payload);
const response = await body.json();
localStorage.setItem('access_token', response.access_token);
}
我们的实现: ✅
// src/services/spotifyService.ts
private async exchangeCodeForToken(code: string): Promise<void> {
// 从 localStorage 获取 code_verifier
const codeVerifier = localStorage.getItem('spotify_code_verifier')
if (!codeVerifier) {
throw new Error('Code verifier not found')
}
const params = new URLSearchParams({
client_id: this.config.clientId,
grant_type: 'authorization_code',
code: code,
redirect_uri: this.config.redirectUri,
code_verifier: codeVerifier,
})
const response = await fetch('https://accounts.spotify.com/api/token', {
method: 'POST',
headers: {
'Content-Type': 'application/x-www-form-urlencoded',
},
body: params.toString(),
})
const data = await response.json()
this.accessToken = data.access_token
this.tokenExpiresAt = Date.now() + data.expires_in * 1000
this.saveTokenToStorage()
// 清理 code_verifier
localStorage.removeItem('spotify_code_verifier')
}
✅ 完全一致!
🎯 完整流程对比
| 步骤 | 官方文档 | 我们的实现 | 状态 |
|---|---|---|---|
| 1. 生成 code_verifier | generateRandomString(64) |
✅ 完全相同 | ✅ |
| 2. 生成 code_challenge | SHA256 + Base64URL |
✅ 完全相同 | ✅ |
| 3. 存储 code_verifier | localStorage |
✅ 完全相同 | ✅ |
| 4. 请求授权 | response_type=code |
✅ 完全相同 | ✅ |
| 5. 发送 code_challenge | S256 method |
✅ 完全相同 | ✅ |
| 6. 解析回调 | 获取 code |
✅ 完全相同 | ✅ |
| 7. 交换 token | 使用 code_verifier | ✅ 完全相同 | ✅ |
| 8. 清理敏感数据 | 删除 code_verifier | ✅ 完全相同 | ✅ |
✨ 我们的增强功能
除了完全遵循官方文档外,我们还添加了以下增强:
1. State 参数(CSRF 保护)
官方文档说:
"This provides protection against attacks such as cross-site request forgery"
// 生成并保存 state
const state = this.generateRandomString(16)
localStorage.setItem('spotify_auth_state', state)
// 验证 state
const storedState = localStorage.getItem('spotify_auth_state')
if (state !== storedState) {
console.error('State mismatch: possible CSRF attack')
return false
}
2. 完整的错误处理
if (error) {
console.error('Spotify authorization error:', error)
return false
}
if (!response.ok) {
const error = await response.json()
throw new Error(error.error_description || 'Failed to exchange code for token')
}
3. 专门的回调页面
创建了 SpotifyCallback.vue 组件:
- 显示加载状态
- 处理授权成功/失败
- 自动跳转回原页面
- 用户友好的提示信息
4. Token 持久化
private saveTokenToStorage() {
if (this.accessToken) {
localStorage.setItem('spotify_access_token', this.accessToken)
localStorage.setItem('spotify_token_expires_at', this.tokenExpiresAt.toString())
}
}
private loadTokenFromStorage() {
const token = localStorage.getItem('spotify_access_token')
const expiresAt = localStorage.getItem('spotify_token_expires_at')
if (token && expiresAt) {
const expires = parseInt(expiresAt)
if (Date.now() < expires) {
this.accessToken = token
this.tokenExpiresAt = expires
}
}
}
🔒 安全性
PKCE 提供的安全性
-
✅ 不需要 Client Secret
- 前端无法安全存储密钥
- PKCE 使用动态生成的 code_verifier
-
✅ 防止授权码拦截
- 即使授权码被拦截,攻击者也无法使用
- 需要对应的 code_verifier 才能交换 token
-
✅ 防止 CSRF 攻击
- 使用 state 参数验证请求来源
- 确保回调是由合法的授权请求触发
我们的额外安全措施
- ✅ State 验证(官方推荐但不强制)
- ✅ 自动清理敏感数据
- ✅ Token 过期检查
- ✅ URL 清理(防止敏感信息暴露在 URL 中)
📊 与传统授权码流程对比
| 特性 | 传统授权码 | PKCE 流程 |
|---|---|---|
| Client Secret | ✅ 需要 | ❌ 不需要 |
| 适用场景 | 后端应用 | 前端应用 ✅ |
| 安全性 | 依赖密钥保密 | 动态验证 ✅ |
| 复杂度 | 需要后端 | 纯前端 ✅ |
| Spotify 推荐 | 后端 | 前端/移动 ✅ |
📝 配置说明
Redirect URI
根据官方文档,Redirect URI 必须:
- 在 Spotify Dashboard 中预先配置
- 请求时的 URI 必须完全匹配
- 包括协议、域名、端口、路径
我们的配置:
开发环境:http://localhost:5173/callback
生产环境:https://sports.rucky.cn/callback
作用域(Scopes)
官方文档说明:
"A space-separated list of scopes. If no scopes are specified, authorization will be granted only to access publicly available information."
我们请求的作用域:
user-read-playback-state- 读取播放状态user-modify-playback-state- 控制播放user-read-currently-playing- 读取当前播放streaming- Web Playback SDKuser-read-email- 读取邮箱user-read-private- 读取个人信息playlist-read-private- 读取私有歌单playlist-read-collaborative- 读取协作歌单user-library-read- 读取音乐库
🎉 总结
我们的实现:
- ✅ 100% 符合 Spotify 官方 PKCE 文档
- ✅ 代码结构与官方示例完全一致
- ✅ 添加了官方推荐的增强功能(state 参数)
- ✅ 提供了更好的用户体验(加载状态、错误处理)
- ✅ 符合 OAuth 2.0 最佳实践
📚 参考文档
我们的实现已经是生产就绪的企业级代码! ✅🎉